A Guarda Nacional Republicada (GNR) tem tido nos últimos dias vários computadores infectados com ramsomware.

De acordo com fontes do Tugaleaks, existem casos de serviços sem poderem usar computadores uma vez que o computador deixa de estar operacional. O Primeiro Sargento Jorge Miguel Matias de Carvalho, Chefe da Secção de Transmissões. Informática e Eletrónica em suplência, chega mesmo a dizer que se trata de uma “ameaça de vírus que surgiu e com rápida proliferação”.

Este Primeiro Sargento transmitiu uma outra mensagem de outro departamento da GNR que dava instruções de como remover o vírus, em Brasileiro, usando palavras como “arquivo”, “baixar”, entre outras.

A mesma mensagem adianta ainda que “a informação contida no presente email não foi testado por esta repartição devido à urgência da ameaça à informação nas partilhas de ficheiros existentes”.

 

Ramsomware relacionado com e-mails

É sabido dentro da “caserna” (termo usado dentro da GNR) que o e-mail pessoal não deve ser aberto nos computadores da Guarda. A primeira razão será sempre a de privacidade, mas existem outras.
No entanto, tendo em conta que se pressupõe que a GNR tenha antivírus no e-mail e na sua rede, é provável, de acordo com fontes dentro da instituição, que tenha sido algum e-mail pessoal aberto e que tenha infectado a máquina.

De acordo com o Sensors Tech Forum, o Zepto Ransomware pode também propagar-se à rede, ou seja, a ficheiros em rede que se encontram em servidores da GNR.

O Tugaleaks também sabe que vários computadores da Guarda ainda usam Windows XP, um sistema operativo que já não tem actualizações.

 

GNR desvaloriza

Contactada a GNR, o Major Marco Cruz assegurou ao Tugaleaks que “entre 10 000 computadores, apenas 10 foram afetados, ainda que todos estejam protegidos com antivírus” e também que “as bases de dados da Guarda Nacional Republicana não foram afetadas pelo vírus”.

 

Consulta aqui o e-mail que a GNR enviou

De: GNR_CTLisboa_STIE
Enviada: segunda-feira, 25 de Julho de 2016 11:22
Para: GNR_CTLisboa_Transito; GNR_CTLisboa; GNR_CTLisboa_DAlenquer; GNR_CTLisboa_DAlenquer_NIC; GNR_CTLisboa_DAlenquer_NPA; GNR_CTLisboa_DAlenquer_NPE; GNR_CTLisboa_DAlenquer_PAlenquer; GNR_CTLisboa_DAlenquer_PAveiras; GNR_CTLisboa_DAlenquer_PAzambuja; GNR_CTLisboa_DAlenquer_PCadaval; GNR_CTLisboa_DAlenquer_PMerceana; GNR_CTLisboa_DIntervencao; GNR_CTLisboa_Dintervencao_MemMartins; GNR_CTLisboa_Dintervencao_Vialonga; GNR_CTLisboa_DMafra; GNR_CTLisboa_DMafra_NIC; GNR_CTLisboa_DMafra_NPA; GNR_CTLisboa_DMafra_NPE; GNR_CTLisboa_DMafra_PEriceira; GNR_CTLisboa_DMafra_PLivramento; GNR_CTLisboa_DMafra_PMafra; GNR_CTLisboa_DMafra_PMalveira; GNR_CTLisboa_DSintra; GNR_CTLisboa_DSintra_NIC; GNR_CTLisboa_DSintra_NPA; GNR_CTLisboa_DSintra_NPE; GNR_CTLisboa_DSintra_PColares; GNR_CTLisboa_DSintra_PPeroPinheiro; GNR_CTLisboa_DSintra_SDAlcabideche; GNR_CTLisboa_DSintra_SDSintra; GNR_CTLisboa_DTorresVedras; GNR_CTLisboa_DTorresVedras_NIC; GNR_CTLisboa_DTorresVedras_NPA; GNR_CTLisboa_DTorresVedras_NPE; GNR_CTLisboa_DTorresVedras_PLourinha; GNR_CTLisboa_DTorresVedras_PMoitaFerreiros; GNR_CTLisboa_DTorresVedras_PSantaCruz; GNR_CTLisboa_DTorresVedras_PSobralMonteAgraco; GNR_CTLisboa_DTorresVedras_PTorresVedras; GNR_CTLisboa_DVilaFrancaXira; GNR_CTLisboa_DVilaFrancaXira_FAeroportoLisboa; GNR_CTLisboa_DVilaFrancaXira_FMinisterioFinancas; GNR_CTLisboa_DVilaFrancaXira_NIC; GNR_CTLisboa_DVilaFrancaXira_NPA; GNR_CTLisboa_DVilaFrancaXira_NPE; GNR_CTLisboa_DVilaFrancaXira_PArrudaVinhos; GNR_CTLisboa_DVilaFrancaXira_PBucelas; GNR_CTLisboa_DVilaFrancaXira_PCastanheiraRibatejo; GNR_CTLisboa_DVilaFrancaXira_PSaoJuliaoTojal; GNR_CTLisboa_DVilaFrancaXira_PVialonga; GNR_CTLisboa_EMEIF; GNR_CTLisboa_NIAVE; GNR_CTLisboa_NIAVE2; GNR_CTLisboa_NIC; GNR_CTLisboa_PAS; GNR_CTLisboa_RP; GNR_CTLisboa_SalaSituacao; GNR_CTLisboa_SEPNA; GNR_CTLisboa_SEPNA_NICCOA; GNR_CTLisboa_SIC; GNR_CTLisboa_SIC_NAIC; GNR_CTLisboa_SIC_NAO; GNR_CTLisboa_SIC_NAT; GNR_CTLisboa_SIC_NAT2; GNR_CTLisboa_SIC_SSC; GNR_CTLisboa_SJ; GNR_CTLisboa_SOIIRP; GNR_CTLisboa_SRH; GNR_CTLisboa_SRLF; GNR_CTLisboa_STIE; GNR_CTLisboa_STIE_CCOM; GNR_CTLisboa_TCarcavelos; GNR_CTLisboa_TCarcavelos_NICAV; GNR_CTLisboa_TCarregado; GNR_CTLisboa_TCarregado_NICAV; GNR_CTLisboa_TTorresVedras; GNR_CTLisboa_TTorresVedras_NICAV
Cc: Antonio Francisco Carvalho Da Paixao; Jose Pedro Marques Inglês; Dário da Silva Tomé Madeira; Jorge Miguel Matias De Carvalho
Assunto: 711_Instrucoes Remover Virus .Zepto Crypto
Importância: Alta

RESERVADO
GUARDA NACIONAL REPUBLICANA
COMANDO TERRITORIAL DE LISBOA
SECÇÃO DE TRANSMISSÕES, INFORMÁTICA E ELETRÓNICA

Email n.º 711 /16 Processo  Data  25-07-2016

V/Referência

Relativamente ao assunto em titulo, incumbe-me o Exmo. Comandante da Unidade de informar da ameaça de vírus que surgiu e com rápida proliferação, conforme email infra. Alerta-se o dispositivo para que :
TODOS OS UTILIZADORES DA MAQUINA INFECTADAS DEVEM ALTERAR TODAS AS  PALAVRAS PASSES QUE UTILIZEM (Mesmo password pessoais, por exemplo, homebanking, email)
Não efetuar esta mudança de password num computador infectado.

Bem como sejam cumpridas todas as indicações email infra.

Jorge Miguel Matias de Carvalho, 1ºSargento
Chefe da Secção de Transmissões. Informática e Eletrónica em suplência

SECÇÃO DE TRANSMISSÕES, INFORMÁTICA ELETRÓNICA
Calçada do Combro n.º96 1200-115 Lisboa
Tel.: 213252500
Email: [email protected]
Email: [email protected]

Redator: Dina Carrondo, 2ºSarg

De: GNR_CO_DCSI_DSI_RAS
Enviada: segunda-feira, 25 de Julho de 2016 10:05
Para: GNR_CO_DCSI_HelpDesk; GNR_CARI_STIE; GNR_CTAcores_STIE; GNR_CTAveiro_STIE; GNR_CTBeja_STIE; GNR_CTBraga_STIE; GNR_CTBraganca_STIE; GNR_CTCasteloBranco_STIE; GNR_CTCoimbra_STIE; GNR_CTEvora_STIE; GNR_CTFaro_STIE; GNR_CTGuarda_STIE; GNR_CTLeiria_STIE; GNR_CTLisboa_STIE; GNR_CTMadeira_STIE; GNR_CTPortalegre_STIE; GNR_CTPorto_STIE; GNR_CTSantarem_STIE; GNR_CTSetubal_STIE; GNR_CTVianaCastelo_STIE; GNR_CTVilaReal_STIE; GNR_CTViseu_STIE; GNR_EG_CFFF_STIE; GNR_EG_CFP_STIE; GNR_EG_STIE; GNR_UAF_STIE; GNR_UCC_STIE; GNR_UI_STIE; GNR_UNT_STIE; GNR_USHE_STIE
Cc: António Pinto de Almeida; João C. Nascimento Nunes; Ricardo De Sousa Augusto; GNR_CO_DCSI_DSI_RAS
Assunto: Instrucoes Remover Virus .Zepto Crypto
Importância: Alta

Bom dia

Devido à rápida proliferação do virus .Zepto que encripta os ficheiros é urgente tomar medidas!!!

1)      Desligar a máquina da rede;
2)      Reiniciar a máquina em modo de segurança

Através do link https://www.bugsfighter.com/pt/remove-zepto-ransomware-decrypt-zepto-files/  obtemos a seguinte informação:

1)      “Para remover Zepto Ransomware completamente recomendamos que você use SpyHunter de EnigmaSoftware Group LLC. Ele detecta e remove todos os arquivos, pastas e chaves de registro de Zepto Ransomware.”;
2)      “Como uma boa alternativa livre para remover Zepto Ransomware uso Malwarebytes Anti-Malware. Ele irá detectar arquivos principais e processos de Zepto ransomware e eliminá-los para permitir que você comece a descriptografia de seus arquivos”;

Para tentar decriptar os ficheiros:
1)  Shadow Explorer;
Baixar Shadow Explorer programa.
Executá-lo e você vai ver lista tela de todas as unidades e as datas em que cópia de sombra foi criada.
Selecione a unidade ea data que deseja restaurar a partir de.
Botão direito do mouse em um nome de pasta e selecione Export.
Caso haja outras datas na lista escolher método alternativo.
2) Kaspersky Ramware Decryptor

Vamos disponibilizar este software através do servidor de ficheiro 10.24.24.100      \\10.24.24.100\Pasta Ficheiros\####.zepto Removal####

Toda a informação contida no presente email não foi testado por esta repartição devido à urgência da ameaça à informação nas partilhas de ficheiros existentes.

INFORMAR TODOS OS UTILIZADORES DA MAQUINA INFECTADAS DE QUE DEVEM DE ALTERAR TODAS AS  PALAVRAS PASSES QUE UTILIZEM (Mesmo password pessoais, por exemplo, homebanking, email)
Não efetuar esta mudança de password num computador infectado.

Sem mais de momento.
Atenciosamente,